다음을 통해 공유

Windows LAPS 및 Microsoft Entra ID 시작

  • 아티클

Windows LAPS(Windows 로컬 관리자 암호 솔루션) 및 Microsoft Entra ID를 시작하는 방법을 알아봅니다. 이 문서에서는 Windows LAPS를 사용하여 Microsoft Entra ID에 암호를 백업하는 기본 절차와 암호 검색 방법을 설명합니다.

지원하는 Azure 클라우드

지원하는 특정 클라우드에 대한 자세한 내용은 Microsoft Entra ID의 Windows 로컬 관리자 암호 솔루션Windows LAPS에 대한 Microsoft Intune 지원을 참조하세요.

Microsoft Entra 디바이스 설정에서 LAPS 사용

Important

기본적으로 Microsoft Entra ID는 관리 디바이스가 새 Windows LAPS 암호를 Microsoft Entra ID에 게시하도록 허용하지 않습니다. 먼저 IT 관리자가 Microsoft Entra 테넌트 수준에서 기능을 사용 설정해야 합니다. 자세한 내용은 Microsoft Entra ID를 사용하여 Windows LAPS 사용 설정을 참조하세요.

디바이스 정책 구성

디바이스 정책을 구성하려면 다음 작업을 완료합니다.

  • 정책 배포 메커니즘 선택
  • Microsoft Entra 모드에 적용되는 정책 이해
  • 특정 정책 구성

정책 배포 메커니즘 선택

첫 번째 단계는 디바이스에서 정책 적용 방법을 선택하는 것입니다.

Microsoft Entra 조인 디바이스의 기본 옵션은 Windows LAPS CSP(구성 서비스 공급자)와 함께 Microsoft Intune을 사용하는 것입니다.

디바이스가 Microsoft Entra에 조인되어 있지만 Microsoft Intune을 사용하지 않는 경우에도 Microsoft Entra ID에 대한 Windows LAPS를 배포할 수 있습니다. 이 시나리오에서는 직접 레지스트리 수정을 통하거나 로컬 컴퓨터 그룹 정책을 사용하여 정책을 수동으로 배포해야 합니다. 자세한 내용은 Windows LAPS 정책 설정 구성을 참조하세요.

참고 항목

디바이스가 온-프레미스 Windows Server Active Directory에 하이브리드 조인된 경우 Windows LAPS 그룹 정책을 사용하여 정책을 배포할 수 있습니다.

Microsoft Entra 모드에 적용되는 정책

Windows LAPS CSP 및 Windows LAPS 그룹 정책 개체는 모두 동일한 설정을 관리하지만 Azure 모드의 Windows LAPS에는 이러한 설정의 하위 집합만 적용됩니다.

다음 설정은 Microsoft Entra ID까지 암호를 백업할 때 적용합니다.

  • BackupDirectory
  • PasswordAgeDays
  • PasswordComplexity
  • PasswordLength
  • AdministratorAccountName
  • PostAuthenticationResetDelay
  • PostAuthenticationActions

더 분명하게 설명하면, Microsoft Entra ID까지 암호를 백업할 때 Windows Server Active Directory 관련 정책 설정은 의미가 없으며 지원하지 않습니다.

특정 정책 구성

최소한 BackupDirectory 설정을 값 1(Microsoft Entra ID에 대한 백업 암호)으로 구성해야 합니다.

AdministratorAccountName 설정을 구성하지 않으면 Windows LAPS는 기본적으로 기본 제공 로컬 관리자 계정을 관리합니다. 이 기본 제공 계정은 잘 알려진 RID(상대 식별자)를 사용하여 자동으로 식별하며 해당 이름으로 식별해서는 안 됩니다. 기본 제공 로컬 관리자 계정의 이름은 디바이스의 기본 로캘에 따라 달라집니다.

사용자 지정 로컬 관리자 계정을 구성하려면 해당 계정의 이름으로 AdministratorAccountName 설정을 구성해야 합니다.

Important

사용자 지정 로컬 관리자 계정을 관리하도록 Windows LAPS를 구성하는 경우 계정이 만들어졌는지 확인해야 합니다. Windows LAPS는 계정을 만들지 않습니다. Accounts CSP를 사용하여 계정을 만드는 것이 좋습니다.

조직에 필요한 대로 PasswordLength 등의 설정을 구성할 수 있습니다.

Microsoft Entra ID에서 암호 업데이트

Windows LAPS는 정기적으로(매시간) 현재 활성 정책을 처리합니다. 정책을 적용한 후 대기하지 않도록 하려면 Invoke-LapsPolicyProcessing PowerShell cmdlet을 실행할 수 있습니다.

Microsoft Entra ID에서 암호가 성공적으로 업데이트되었는지 확인하려면 이벤트 로그에서 10029 이벤트를 확인합니다.

이벤트 로그 및 성공적인 Microsoft Entra 암호 업데이트 이벤트 로그 메시지의 스크린샷

Microsoft Entra ID에서 암호 검색

Microsoft Entra ID에 저장된 Windows LAPS 암호 검색은 Microsoft Graph를 사용하여 지원합니다. Windows LAPS에는 Microsoft Graph PowerShell 라이브러리의 래퍼인 PowerShell cmdlet(Get-LapsAADPassword)이 포함되어 있습니다. UI 기반 암호 검색 환경에 Microsoft Entra ID 및\또는 Intune 관리 포털을 사용할 수도 있습니다. Windows LAPS는 Microsoft Entra 암호 검색을 위해 Windows 내에서 사용자 인터페이스 옵션을 제공하지 않습니다.

이 지침의 나머지 내용은 microsoft Graph를 사용하여 Microsoft Entra ID에서 Windows LAPS 암호를 검색하는 Get-LapsAADPassword cmdlet 사용 방법을 설명합니다.

Microsoft Graph PowerShell 라이브러리 설치

첫 번째 단계는 Microsoft Graph PowerShell 라이브러리를 설치하는 것입니다.

Install-Module Microsoft.Graph -Scope AllUsers

명령이 성공하려면 리포지토리를 '신뢰할 수 있는'으로 구성해야 할 수 있습니다.

Set-PSRepository PSGallery -InstallationPolicy Trusted

Windows LAPS 암호를 검색하는 Microsoft Entra 등록 앱 만들기

다음 단계는 필요한 권한으로 구성된 Microsoft Entra 애플리케이션을 만드는 것입니다. Microsoft Entra 애플리케이션을 만들기 위한 기본 지침을 검토하려면 빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록을 참조하세요.

앱은 두 가지 권한 Device.Read.All와(과) DeviceLocalCredential.ReadBasic.All 또는 DeviceLocalCredential.Read.All 둘 중 하나로 구성해야 합니다. DeviceManagementManagedDevices.Read.All Microsoft Managed Desktop 디바이스에 대한 암호를 쿼리하기 위해 필요할 수도 있습니다.

Important

  • DeviceLocalCredential.ReadBasic.All은(는) 지속형 Windows LAPS 암호에 대한 중요하지 않은 메타데이터를 읽을 수 있는 권한 부여에 사용합니다. 예를 들어 암호가 Azure에 백업된 시간과 암호의 예상 만료 시간이 있습니다. 이 권한 수준은 보고 및 규정 준수 애플리케이션에 적합합니다.
  • DeviceLocalCredential.Read.All은(는) 일반 텍스트 암호 자체를 포함하여 지속형 Windows LAPS 암호에 대한 모든 내용을 읽을 수 있는 모든 권한 부여에 사용합니다. 이 권한 수준은 중요하며 신중하게 사용해야 합니다.

Microsoft Entra ID에서 해당 암호 검색

거의 완료되었습니다! 먼저 Microsoft Graph에 로그인합니다. 그런 다음 Get-LapsAADPassword cmdlet을 사용하여 암호를 검색합니다.

Microsoft Graph에 로그인하려면 Connect-MgGraph cmdlet을 사용합니다. Azure 테넌트 ID와 이전에 만든 Microsoft Entra 애플리케이션의 애플리케이션 ID를 알고 있어야 합니다. cmdlet을 한 번 실행하여 로그인합니다. 예시:

PS C:\> Connect-MgGraph -Environment Global -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444

Welcome To Microsoft Graph!

Connect-MgGraph cmdlet이 성공하려면 PowerShell 실행 정책을 수정해야 할 수 있습니다. 예를 들어 Set-ExecutionPolicy -ExecutionPolicy Unrestricted을(를) 첫 번째로 실행해야 할 수 있습니다.

이제 Microsoft Graph에 로그인했으므로 암호를 검색할 수 있습니다.

먼저 Get-LapsAADPassword cmdlet을 호출하고 디바이스의 이름을 전달합니다.

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice

DeviceName    DeviceId                             PasswordExpirationTime
----------    --------                             ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM

-Verbose 매개 변수를 전달하여 Get-LapsAADPassword cmdlet(또는 Windows LAPS PowerShell 모듈의 다른 cmdlet)이 수행하는 작업을 자세히 확인합니다.

앞의 예제에서는 클라이언트에 DeviceLocalCredential.Read.Basic 권한이 부여되어야 합니다. 다음 예제에서는 클라이언트에 DeviceLocalCredential.Read.All 권한이 부여되어야 합니다.

다음으로, Get-LapsAADPassword cmdlet을 호출하여 반환할 실제 암호를 요청합니다.

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

SecureString 개체에 반환되는 암호입니다.

마지막으로 테스트 또는 임시 용도로 -AsPlainText 매개 변수를 사용하여 암호를 일반 텍스트로 표시하도록 요청할 수 있습니다.

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

암호 순환

Windows LAPS는 마지막으로 저장된 암호가 만료되는 시점을 로컬에서 기억하고 암호가 만료되면 자동으로 암호를 순환합니다. 보안 위반 또는 임시 테스트와 같은 일부 상황에서는 암호를 미리 순환해야 할 수 있습니다. 수동으로 암호 순환을 강제 적용하려면 Reset-LapsPassword cmdlet을 사용할 수 있습니다. 예시:

PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime     : 7/1/2022 12:16:16 PM

Important

  • Microsoft Entra ID는 Microsoft Entra ID의 암호 만료 타임스탬프를 수정하여 디바이스의 현재 저장된 암호 만료를 지원하지 않습니다. 이는 Windows Server Active Directory 기반 Windows LAPS와 설계 차이입니다.
  • Reset-LapsPassword cmdlet을 과도하게 자주 사용하지 마세요. 검색된 경우 활동이 제한될 수 있습니다.

하이브리드 환경에서 Windows LAPS 및 Microsoft Entra Connect

Windows LAPS는 Microsoft Entra Connect를 사용하지 않으며 이러한 두 기술 간에 종속성이 없습니다. Microsoft Entra ID에 암호를 백업하는 Windows LAPS 관리 디바이스는 데이터 동기화에 의존하지 않고 https를 통해 직접 수행합니다.

또한 Microsoft Entra ID 및 Intune 디바이스 관리 포털은 Windows LAPS 디바이스에서 직접 백업된 암호만 보고 관리할 수 있습니다. 온-프레미스 Active Directory Windows LAPS 특성을 Microsoft Entra ID와 동기화하도록 Microsoft Entra Connect를 구성하는 것은 테스트된 시나리오가 아닙니다. 온-프레미스 Active Directory Windows LAPS 특성을 Microsoft Entra ID와 수동으로 동기화해도 이러한 특성이 Microsoft Entra ID 또는 Intune 디바이스 관리 포털에 표시되지 않습니다.

Windows LAPS가 작동할 필요는 없지만 온-프레미스 Active Directory 스키마를 확장할 때마다 Microsoft Entra Connect 디렉터리 스키마도 새로 고쳐야 합니다. 디렉터리 스키마 새로 고침을 참조하세요.

참고 항목

다음 단계